Przy okazji artykułu o gutenbergowej aktualizacji WordPressa (5.0) wspomniałem, że ja się z aktualizacją wstrzymam kilka dni, i pewnie do tego czasy wyjdzie już 5.0.1, a może i dalej. Ja się cały czas wstrzymuje, ale wersja 5.0.1 wyszła, i przynosi sporo poprawek – również bezpieczeństwa. Na szczęście dla takich jak ja wyszła też wersja 4.9.9, która również łata podatności, a nie wprowadza Gutenberga.
WordPress 5.0.1 i 4.9.9
Oczywiście to nie jest tak, że w ramach jakiegoś buntu zostanę na swoich stronach ze starą wersją. Aktualizacja mnie czeka, raczej nie ma od niej ucieczki, ale uznałem, że dam trochę czasu społeczności na lepsze przetestowanie nowej wersji. Zresztą na mojej wersji deweloperskiej (do testów) widzę, że jeszcze nie wszystkie wtyczki w 100% zostały dopasowane do zmian jakie nastąpiły wraz z nadejściem nowego edytora blokowego.
Odnaleziono i załatano następujące podatności:
- Authenticated File Delete
- Authenticated Post Type Bypass
- PHP Object Injection via Meta Data
- Authenticated Cross-Site Scripting (XSS)
- Cross-Site Scripting (XSS) that could affect plugins
- User Activation Screen Search Engine Indexing
- File Upload to XSS on Apache Web Servers
- Import Cross-Site Scripting (XSS)
Wprawdzie nie ma tu nic, co by sprawiło, że moje serce jakoś szybciej zabiło, ale też chyba dawno nie było aż tak rozległej aktualizacji bezpieczeństwa. Zwłaszcza, że cały czas napływają raporty o kolejnych błędach, więc coś czuje, że będę ten artykuł jeszcze aktualizował…
Co istotne, to wymienione błędy (podatności) nie dotyczą tylko WordPressa w wersji 5.0, ale i starszych wersji. Dlatego jeśli ktoś nie chce (jeszcze) wersji 5 (5.0.1 po aktualizacji), to powinien dokonać aktualizacji do wersji 4.9.9, o ile taka aktualizacja nie wykonała się automatycznie.
- Krótki przegląd wybranych nowości w Home Assistant 2024.3, czyli nowy typ widoku, nowy wykres w energii, oraz interaktywne uruchamianie skryptów - 1970-01-01
- Prosty sposób na przesyłanie w formularzu internetowym danych z pól znajdujących się poza formularzem internetowym - 1970-01-01
- Nowe wytyczne EASA, czyli to nie wzrok, a wzór matematyczny ma decydować o tym, czy latasz dronem w zasięgu wzroku (VLOS) - 1970-01-01
Ciekawe dlaczego nie włączyli te poprawienia bezpieczeństwa do wersji 5.0?
Albo nie zdążyli, a nie chcieli Gutenberga znowu przekładać, albo nie wiedzieli o tych błędach. Aktualizacje były i będą. Dobrze, że wypuścili też 4.9.9, bez zmuszania do przesiadki na 5.0.1 (ja cały czas z większością stron jeszcze czekam… ;-)).